Começou a valer em 2016 o Marco Civil da Internet do Brasil (Lei 12.965/2014), que estabelecia uma série de regras, direitos e deveres dos usuários e das empresas fornecedoras de serviços, redes e aplicações no ambiente virtual.

Em um país em que nunca houve um conjunto de leis que regulamentasse a proteção de dados, o Marco Civil, apesar de trazer poucas regras específicas relacionadas à segurança da informação, impactou de alguma forma essa área nas empresas.

Antes do Marco Civil, apenas princípios gerais dispostos na Constituição Federal, dizendo respeito ao direito à privacidade e à intimidade e à confidencialidade das comunicações privadas, serviam para regular de alguma forma as relações na web entre empresas e usuários.

O Marco Civil, apesar de não estabelecer de maneira clara uma definição do que são considerados dados pessoais, também trata do direito à privacidade e à confidencialidade das comunicações privadas, e dá especial atenção aos dados de registros de acesso (como endereços de IP e logins).

Empresas passaram a ter regras para lidar com dados de clientes

O Marco Civil estabeleceu que as empresas devem informar claramente sobre a coleta, o uso, o armazenamento, o tratamento e a proteção de dados pessoais, que somente poderão ser usados para finalidades que justifiquem sua coleta.

Além disso, os dados pessoais que tiverem sido fornecidos na contratação de um serviço passaram a terem que ser excluídos definitivamente ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de serviços. Todos os dados de registros de acesso passaram a ser mantidos até a solicitação de autoridades, uma obrigação que não pode ser transferida.

Os dados passaram a não poder mais serem fornecidos a terceiros sem um consentimento livre, expresso e informado pelo usuário.

O que mudou com o marco civil no departamento de segurança da informação

O Brasil foi pioneiro na luta pelos direitos do usuário em um ambiente virtual. Um dos focos do Marco Civil foi a transparência. As regras são claras em relação à necessidade de consentimento do usuário para coleta e uso de dados pessoais e outros registros de acesso, como o uso de cookies para rastreamento dos usuários em outros sites e serviços.

Isso obrigou as empresas a criarem Termos de Uso e Políticas de Privacidade, algo que já era encontrado em alguns sites brasileiros mas não em todos. O uso de cookies, por exemplo, também passou a ser expresso de maneira nítida, o que também já podia ser visto em algumas poucas páginas antes da regulamentação.

Além disso, se antes não havia nenhuma lei que obrigasse as empresas a manter os registros dos usuários “em ordem”, agora as organizações passaram a tê-los de maneira organizada. O Marco Civil também estabeleceu que os provedores terão de prestar, na forma de regulamentação, informações que permitam verificar o cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento e ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de informações.

Consequentemente, as empresas passaram a ter que investir na gestão de dados e em ferramentas que facilitassem relatórios e processos de exclusão e armazenamento de dados para possíveis solicitações de autoridades públicas.

Antes de ser sancionado, em 2014, o Marco Civil continha um ponto que causou grandes discussões, que era a obrigatoriedade de instalar servidores no Brasil. Ou seja, as empresas teriam que ter data centers de provedores nacionais. A ideia era evitar casos de espionagem como o denunciado por Edward Snowden. Segundo o ex-consultor americano, o governo dos Estados Unidos teria espionado ligações telefônicas e e-mails no Brasil.

Esse ponto foi tirado, mas as empresas estrangeiras com atuação no Brasil ainda passaram a ter que estar de acordo com a legislação do País, mesmo que atuem apenas de forma remota pelo exterior. Ou seja, todas as empresas passaram a ter que estar prontas para lidar com as exigências em relação ao uso dos dados dos usuários e para atender solicitações da Justiça brasileira.

Update: conheça mais sobre a nova Lei de Proteção de Dados brasileira.